ISAE 3000 (개정): 감사 또는 검토 이외의 보증업무 완전 가이드

1. ISAE 3000의 적용 범위와 ISA와의 차이 2. 합리적 보증과 제한적 보증의 실무적 차이 3. ISAE 3000.25가 요구하는 5가지 필수 요소 4. 업무수행 절차와 증거 수집 5. ISAE 3000.69 보고서 필수 요소 6. 품질관리와 독립성 7. 실무 예시: ESG 데이터 검증 8. 실무 체크리스트 9. 대부분의 팀이 틀리는 부분 10. 관련 자료

ISAE 3000의 적용 범위와 ISA와의 차이

ISAE 3000은 재무제표 감사(ISA)나 재무제표 검토(ISRE 2400)를 제외한 모든 보증업무에 적용된다. 내부통제 검토, ESG 보고서 검증, 성과 측정 검토, 규정 준수 확인이 여기에 해당한다. 보증업무는 증명업무(attestation engagement)와 직접 업무(direct engagement)로 나뉜다.

ISAE 3000.12(a)에 따르면 보증업무는 업무수행자가 의도된 이용자를 위해 대상사항에 대한 책임당사자의 주장에 결론을 표명하는 업무다.

ISAE 3000.18이 규정하는 핵심 구조는 세 당사자 관계다. 업무수행자, 책임당사자, 의도된 이용자가 있어야 한다. 이 구조가 없으면 보증업무가 아니라 컨설팅이나 합의된 절차 업무다. 솔직히 이 구분을 업무 수임 단계에서 명확히 하지 않는 팀이 적지 않다.

ISA와 다른 점

ISA와 가장 큰 차이는 대상사항의 성격이다. ISA는 역사적 재무정보만 다루지만 ISAE 3000은 재무 및 비재무정보를 모두 포함한다. ISA는 합리적 보증만 제공하는 반면 ISAE 3000은 합리적 보증과 제한적 보증을 모두 허용한다.

증거 수집 절차도 다르다. ISA는 표준화된 위험 평가와 대응 절차를 요구하지만 ISAE 3000은 대상사항의 성격에 따라 절차를 설계하도록 요구한다. 이것이 실무에서 가장 어려운 부분이다. 표준 템플릿이 없기 때문에 업무수행자가 직접 판단해야 한다.

합리적 보증과 제한적 보증의 실무적 차이

ISAE 3000.11은 두 보증 수준의 차이를 규정한다. 합리적 보증은 "높은 수준이지만 절대적이지 않은" 보증 수준을 제공한다. 제한적 보증은 "의미 있지만 합리적 보증보다 낮은" 수준이다.

실무적 의미는 절차의 성격, 시기, 범위에 있다. 합리적 보증 업무는 위험을 수용 가능한 낮은 수준으로 줄이기 위해 증거를 수집한다. 제한적 보증은 한정된 절차를 수행한다. 이 차이를 "제한적 보증 = 간단한 검토"로 이해하면 틀린다. ISAE 3000.A61은 제한적 보증에서도 의미 있는 보증 수준을 요구한다.

보고서에서 결론의 형태도 다르다. 합리적 보증은 긍정적 형태("우리의 의견으로는")로 표명한다. 제한적 보증은 부정적 형태("우리가 인지한 바로는... 없습니다")로 표명한다.

보증 수준을 결정하는 요소

대상사항의 복잡성, 이용자의 요구, 시간과 비용 제약, 법적 요구사항이 보증 수준 결정에 영향을 미친다. 주관적 대상사항에는 제한적 보증이 현실적으로 더 맞는 경우가 많다.

ISAE 3000.25가 요구하는 5가지 필수 요소

모든 보증업무는 ISAE 3000.25의 다섯 가지 필수 요소를 갖추어야 한다. 하나라도 빠지면 보증업무로 성립하지 않는다.

첫째, 대상사항이다. 식별 가능하고 일관된 측정이나 평가가 가능해야 한다. 업무수행자가 충분하고 적합한 증거를 수집할 수 있어야 한다.

둘째, 기준이다. 대상사항을 측정하거나 평가하기 위한 벤치마크로, ISAE 3000.36은 관련성, 완전성, 신뢰성, 중립성, 이해가능성을 요구한다.

셋째, 대상사항 정보다. 적용된 기준에 따라 대상사항을 측정하거나 평가한 결과이며 책임당사자가 작성한다.

넷째, 증거다. 결론을 뒷받침할 충분하고 적합한 증거를 업무수행자가 수집해야 한다. 충분성은 양적 측면이고 적합성은 질적 측면이다.

다섯째, 서면 보증업무 보고서다. 모든 보증업무는 서면 보고서로 결론을 전달해야 한다. ISAE 3000.69가 필수 요소를 규정한다.

업무수행 절차와 증거 수집

ISAE 3000.47은 업무수행자에게 업무 위험을 낮은 수준으로 줄이기 위한 증거를 수집하도록 요구한다. 절차의 성격은 보증 수준, 대상사항의 특성, 업무 환경에 따라 달라진다.

절차의 유형

질문은 ISAE 3000.A93이 명시하는 모든 보증업무의 기본 절차다. 단독으로는 충분하지 않지만 다른 절차와 결합하면 유용한 증거가 된다. 분석적 절차는 예상치와 기록된 금액이나 비율 사이의 관계를 평가한다.

관찰은 타인이 수행하는 과정이나 절차를 보는 것이다. 검사는 기록이나 문서, 유형자산을 조사하는 것이다. 두 절차 모두 특정 시점에 대한 증거만 제공한다는 점을 조서에 명확히 기재해야 한다.

재수행은 원래 내부통제의 일부로 수행된 절차나 통제를 업무수행자가 독립적으로 실행하는 것이다. 통제의 유효성에 대한 직접적인 증거를 제공한다. 확인은 외부 당사자로부터 직접 정보를 구하는 절차다. 일반적으로 신뢰할 만한 증거를 제공하지만 응답률이 낮으면 추가 절차가 필요하다.

표본추출

ISAE 3000.A101은 표본추출을 모집단에 대한 결론 도출을 위해 100% 미만을 테스트하는 것으로 정의한다. 표본 설계는 업무의 목적, 모집단의 특성, 표본추출 위험을 고려해야 한다. 판단표본추출과 통계적 표본추출 모두 사용 가능하다.

ISAE 3000.69 보고서 필수 요소

ISAE 3000.69는 보증업무 보고서의 필수 요소를 상세히 규정한다.

제목, 수신인, 대상사항 식별

보고서는 업무의 성격을 나타내는 제목이 있어야 한다. "독립적 보증업무 보고서" 또는 "독립적 검증 보고서"가 적절하다. 수신인은 계약서에서 명시한 의도된 이용자여야 한다. 대상사항과 적용된 기준을 명확히 식별해야 하며 기준이 특별히 설계된 경우 그 사실을 명시하고 기준의 출처나 입수 방법을 기재한다.

책임 구분과 업무수행 기준

각 당사자의 책임을 명확히 구분한다. 책임당사자는 대상사항 정보의 작성과 기준 선택에 대해 책임이 있고 업무수행자는 수행한 업무를 바탕으로 독립적 결론을 표명할 책임이 있다. 업무가 수행된 기준(ISAE 3000)을 명시하고 수행한 절차를 요약한다.

결론

결론은 보고서의 핵심이다. 합리적 보증은 긍정적 형태로, 제한적 보증은 부정적 형태로 표명한다.

한정의견과 결론거부

ISAE 3000.78은 무한정 의견을 표명할 수 없는 경우의 보고 방법을 규정한다. 증거 수집의 제약이나 발견된 오류의 중요성에 따라 한정의견이나 결론거부가 가능하다. 한정의견은 "...를 제외하고" 형태로 표명하며 한정 사유를 명확히 기술한다. 결론거부는 결론을 표명할 수 없음을 명시하고 그 이유를 설명한다.

품질관리와 독립성

ISAE 3000.31은 업무수행자에게 ISQM 1에 따른 품질관리 시스템 구축과 운영을 요구한다.

업무수행팀의 역량

팀원은 보증업무를 수행할 역량을 갖추어야 한다. 대상사항과 기준에 대한 이해, 보증업무 기준에 대한 지식, 관련 업종 경험이 필요하다. ESG 보증처럼 복잡한 대상사항의 경우 전문가를 활용할 수 있다. ISAE 3000.54는 업무수행자에게 전문가의 적격성, 역량, 객관성 평가와 적절한 감독을 요구한다.

독립성과 객관성

ISAE 3000.20은 업무수행자에게 보증업무 관련 독립성 유지를 요구한다. 정신적 독립성과 외관상 독립성을 모두 포함한다. 독립성 위협 요소는 자기검토, 자기이익, 옹호, 친밀관계, 위압의 다섯 가지 범주로 분류된다.

실무 예시: ESG 데이터 검증

한국산업개발 주식회사(가명)는 연매출 850억 원의 제조업체로 2024년부터 K-ESG 가이드라인에 따른 ESG 보고서를 발간한다. 온실가스 배출량 데이터의 신뢰성 제고를 위해 제한적 보증을 요청했다.

보증업무 요소 확인

대상사항은 2024년 온실가스 배출량(Scope 1, 2)이다. 기준은 K-ESG 가이드라인 및 온실가스 배출량 산정 가이드라인이다. 대상사항 정보는 ESG 보고서 내 배출량 데이터다. 의도된 이용자는 투자자와 규제기관이다. 보증 수준은 제한적 보증이다.

문서화 노트: 업무 계약서에서 각 요소를 명확히 정의하고 책임당사자의 확인서를 첨부한다.

절차 설계

질문과 분석적 절차를 중심으로 설계한다. 온실가스 배출량 계산 방법론 검토, 기초 데이터의 정확성 확인, 전년도와의 비교 분석을 수행한다.

문서화 노트: 제한적 보증의 성격을 고려하여 세부 검증보다는 명백한 오류나 불일치 식별에 초점을 맞춘다.

증거 수집

연료 사용량 기록과 구매 전표의 일관성을 확인한다. 전력 사용량과 한국전력 고지서를 대조한다. 배출계수 적용의 적정성을 검토하고 계산식의 정확성을 재수행한다.

문서화 노트: 주요 배출원에 대해 전수 조사를 실시한다.

결론 도출과 보고서 작성

수행한 절차 결과 온실가스 배출량 데이터에 중요한 오류나 누락은 발견되지 않았다. 일부 배출계수가 구버전을 사용한 점은 지적했다.

제한적 보증 보고서에 "우리가 인지한 바로는 온실가스 배출량 데이터가 적용된 기준에 따라 중요한 측면에서 작성되지 않았다는 사실은 없습니다"라고 결론을 표명한다.

문서화 노트: 발견사항의 중요성을 평가하여 결론에 미치는 영향을 검토한다.

실무 체크리스트

1. 업무 승인 전: 보증업무의 5가지 필수 요소가 모두 있는지 확인한다. 업무수행팀이 대상사항에 대한 지식과 경험을 보유했는지 검토한다. 독립성 위협 요소를 식별하고 안전장치를 마련했는지 확인한다. ISAE 3000.25의 적절성 기준을 충족하는지 평가한다.

2. 업무 계획: 중요성 기준점을 설정하고 문서화한다(대상사항의 성격에 따른 질적, 양적 기준). 위험 평가를 수행하고 절차의 성격, 시기, 범위를 결정한다. 전문가 활용 필요성을 검토한다. ISAE 3000.44에 따른 업무 계획서를 작성한다.

3. 증거 수집: 각 절차의 목적과 예상 증거를 명확히 정의한다. 충분하고 적합한 증거 수집 여부를 지속적으로 평가한다. 예외사항이나 불일치에 대한 추가 조사를 수행한다. 모든 판단과 결론을 조서에 문서화한다.

4. 보고서 작성: ISAE 3000.69의 모든 필수 요소 포함 여부를 확인한다. 결론의 형태가 보증 수준과 일치하는지 검토한다. 한정사항이나 발견사항을 기술한다. 의도된 이용자 및 목적 외 사용 제한을 명시한다.

5. 품질관리 검토: 업무수행 전반에 걸친 감독과 검토를 수행한다. 중요 판단사항에 대한 업무품질관리검토자(품관실)의 승인을 획득한다. 최종 보고서 발행 전 모든 미해결 사항의 완결성을 확인한다.

대부분의 팀이 틀리는 부분

보증업무와 합의된 절차를 혼동하는 경우가 있다. 의도된 이용자가 명확하지 않거나 기준이 부재하면 보증업무가 아니다. 금감원은 보증업무의 요건을 충족하지 못한 업무를 보증업무로 분류한 사례를 지적한 바 있다. 실무에서 이것이 의미하는 것: 수임 단계에서 세 당사자 관계를 확인하지 않으면 보고서 자체가 의미 없어진다.

제한적 보증을 "간단한 검토"로 오해하는 경우도 빈번하다. ISAE 3000.A61은 제한적 보증에서도 의미 있는 보증 수준을 요구한다. 절차를 줄이는 것이 아니라 업무 목적에 맞는 절차를 선택하는 것이다. 막상 해보니까 제한적 보증 조서가 합리적 보증보다 오히려 판단 근거 기술이 더 필요했다.

보고서 필수 요소 누락도 흔하다. ISAE 3000.69의 필수 요소 중 기준의 적절성이나 업무 한계에 대한 설명이 빠지는 경우가 특히 많다.

목차